AAD поддерживает учетные записи, принадлежащие потребителям, через гостевые потоки с MSA. Таким образом, ваши пользователи могут создать MSA для своей учетной записи @yahoo или @gmail (учетная запись @outlook уже является MSA). Затем вы можете пригласить пользователя в качестве гостя в своем клиенте с помощью портала Azure (так же, как вы пригласите пользователя AAD из другого арендатора в качестве гостя). См.: https://azure.microsoft.com/en-us/documentation/articles/active-directory-create-users/.

Здесь есть два варианта:

• B2B AzureAD Tenant — куда вы добавляете этих пользователей в качестве гостей. Вашими гостями могут быть внешние учетные записи AAD, учетные записи MSA, и вы можете легко настроить федерацию для Google и других. Вы также можете включить аутентификацию по паролю, чтобы разрешить использование любой электронной почты без регистрации. Им высылается одноразовый код доступа, который действует в течение 30 дней.
• B2C AzureAD Tenant — здесь вы создаете аутентификацию для общедоступного сайта и хотите, чтобы люди использовали любую электронную почту. Он предварительно настроен с большим количеством федераций, которые вы можете настроить.

Из https://docs.microsoft.com/en-us/azure/active-directory/external-identities/compare-with-b2c по состоянию на 20 апреля 2021 г.

Что такое внешние удостоверения в Azure Active Directory?

С помощью внешних удостоверений в AzureAD вы можете разрешить людям за пределами вашей организации получать доступ к вашим приложениям и ресурсам, позволяя им входить в систему, используя любое удостоверение, которое они предпочитают. Ваши партнеры, дистрибьюторы, поставщики, продавцы и другие гостевые пользователи могут «привносить свою собственную идентичность». Независимо от того, есть ли у них корпоративное или государственное цифровое удостоверение или неуправляемое социальное удостоверение, такое как Google или Facebook, они могут использовать свои собственные учетные данные для входа. Поставщик удостоверений внешнего пользователя управляет их удостоверениями, а вы управляете доступом к своим приложениям с помощью Azure. AD для защиты ваших ресурсов.

Сценарии внешних удостоверений

Внешние удостоверения AzureAD фокусируются не столько на отношениях пользователя с вашей организацией, сколько на том, как пользователь хочет входить в ваши приложения и ресурсы. В рамках этой структуры AzureAD поддерживает множество сценариев, от совместной работы между предприятиями (B2B) до управления доступом для приложений, ориентированных на потребителя/клиента или гражданина (бизнес-клиент или B2C).

• Делитесь своими приложениями и ресурсами с внешними пользователями (сотрудничество B2B). Пригласите внешних пользователей в свой собственный клиент в качестве «гостевых» пользователей, которым вы можете назначать разрешения (для авторизации), позволяя им использовать свои существующие учетные данные (для проверки подлинности). Пользователи входят в общие ресурсы, используя простой процесс приглашения и активации со своей рабочей, учебной или другой учетной записью электронной почты. Вы также можете использовать управление правами AzureAD для настройки политик, управляющих доступом для внешних пользователей. А теперь, благодаря наличию пользовательских потоков самостоятельной регистрации, вы можете позволить внешним пользователям самостоятельно регистрироваться в приложениях. Опыт можно настроить так, чтобы разрешить регистрацию с рабочим, школьным или социальным идентификатором (например, Google или Facebook). Вы также можете собирать информацию о пользователе в процессе регистрации. Дополнительные сведения см. в документации по AzureAD B2B.

• Создавайте пути взаимодействия пользователей с помощью решения для управления идентификацией, предназначенного для потребителей и клиентов (AzureAD B2C) . Если вы представляете компанию или разработчика, создающего приложения для клиентов, вы можете масштабироваться до миллионов потребителей, заказчиков или граждан с помощью AzureAD B2C. Разработчики могут использовать AzureAD в качестве полнофункциональной системы управления идентификацией клиентов и доступом (CIAM) для своих приложений. Клиенты могут войти в систему, используя уже установленную учетную запись (например, Facebook или Gmail). С помощью AzureAD B2C вы можете полностью настроить и контролировать то, как клиенты регистрируются, входят в систему и управляют своими профилями при использовании ваших приложений. Дополнительные сведения см. в документации по AzureAD B2C.

Сравните решения для внешних удостоверений

В следующей таблице представлено подробное сравнение сценариев, которые можно включить с помощью внешних удостоверений AzureAD.

Защитите и управляйте клиентами и партнерами за пределами вашей организации с помощью внешних удостоверений AzureAD.

О мультитенантных приложениях

Если вы предоставляете приложение как услугу и не хотите управлять учетными записями пользователей своих клиентов, скорее всего, вам подойдет многопользовательское приложение. При разработке приложений, предназначенных для других арендаторов AzureAD, вы можете ориентироваться на пользователей из одной организации (один клиент) или пользователей из любой организации, в которой уже есть арендатор AzureAD (мультитенантные приложения). Регистрация приложений в AzureAD по умолчанию выполняется одним клиентом, но вы можете сделать регистрацию многопользовательской. Это многопользовательское приложение регистрируется вами один раз в вашей собственной AzureAD. Но тогда любой пользователь AzureAD из любой организации сможет использовать приложение без дополнительной работы с вашей стороны. Дополнительные сведения см. в разделе Управление удостоверениями в мультиарендных приложениях, Практическое руководство.